文章目錄
- logback漏洞說明
- github地址
- 總結
前兩天因為log4j2的問題許多公司估計都通宵達旦的加班看版本改BUG了,但最近Logback也被發現相同問題,
logback漏洞說明
下面是一個漏洞檢測機構搜集到的訊息,
在 1.2.7 之前的 logback 中發現了一個歸類為有問題的漏洞,受影響的是組態檔處理程式組件的未知功能,處理未知條目會導致擴展權限,該漏洞被標識為CVE-2021-42550,攻擊可以從網路發起,此外,還有一個可用的探索,
CVE 摘要是:
在 logback 版本 1.2.7 和之前的版本中,具有編輯組態檔所需權限的攻擊者可以制作惡意配置,允許執行從 LDAP 服務器加載的任意代碼,
該漏洞被標識為CVE-2021-42550,CVE 的歸屬發生在 2021 年 10 月 15 日,攻擊可以從網路發起,沒有可用的技術細節,攻擊的復雜性相當高,據說可利用性很困難,該漏洞并不為人所知,此外,還有一個可用的探索,該探索已向公眾發布,可以使用,
英文
中文翻譯
中文翻譯
英文
github地址
這事一個觸發logBack發生Bug的案例,里面有詳細的漏洞分析,感興趣的可以去看一看,
介紹:
該專案是SpringBoot撰寫的一個簡單的漏洞Demo環境,在這里,我特意寫了一個有任意檔案上傳的漏洞環境,然后利用loghack組態檔中的
scan屬性配合logback漏洞實作RCE,
想了解的點這里:傳送門🐕🐕🐕🐕
總結
主要引起漏洞的原因和Log4j2相同,但是并沒有像Log4j2那么的兇,因為這個漏洞不是百分百能觸發的,需要特定的條件才可能出現安全問題,但是既然爆出來,還是防范于未然比較好,
觸發條件:
- logback的組態檔可以修改或覆寫
- 能夠使修改后的組態檔生效
主要影響的版本為:logback version < 1.2.9 和 logback version < 1.3.0-alpha11
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/394163.html
標籤:其他
上一篇:隴原戰“疫“2021網路安全大賽 Web eaaasyphp
下一篇:計科資訊安全總復習